
BANJARNEGARA, SERAYUNEWS– Keamanan layanan digital kini menjadi salah satu aspek penting dalam penyelenggaraan pemerintahan.
Seiring meningkatnya pemanfaatan teknologi informasi untuk pelayanan publik, upaya menjaga sistem dari berbagai ancaman siber juga terus diperkuat.
Salah satu bentuk kolaborasi yang mendukung tujuan tersebut adalah melalui program Computer Security Incident Response Team (CSIRT).
Ini membuka ruang bagi peneliti keamanan untuk melaporkan kerentanan secara bertanggung jawab atau responsible disclosure.
Melalui mekanisme tersebut, para peneliti keamanan tidak hanya berperan menemukan kelemahan pada suatu sistem.
Namun, mereka juga membantu instansi melakukan perbaikan sebelum kerentanan dimanfaatkan oleh pihak yang tidak bertanggung jawab.
Salah satu kontribusi datang dari Athoru Safaroza Arthuro, siswa SMK Panca Bhakti Banjarnegara kelas X TKJ 3.
Pada 29 Mei 2026, ia berhasil mengidentifikasi dan melaporkan kerentanan Cross-Site Scripting (XSS) pada salah satu aset digital milik Pemerintah Kabupaten Purbalingga melalui program CSIRT.
Temuan tersebut menjadi pengalaman berharga sekaligus menunjukkan bahwa proses pengujian keamanan secara sistematis, bertanggung jawab, dan sesuai etika dapat memberikan manfaat nyata bagi peningkatan keamanan layanan publik berbasis digital.
Cross-Site Scripting atau XSS merupakan salah satu jenis kerentanan yang cukup sering ditemukan dalam aplikasi berbasis web.
Celah keamanan ini muncul ketika data yang dimasukkan oleh pengguna diproses atau ditampilkan kembali ke halaman web tanpa melalui proses validasi maupun output encoding yang memadai.
Akibatnya, kode JavaScript yang disisipkan oleh pihak tertentu berpotensi dijalankan langsung pada browser pengguna lain yang mengakses halaman tersebut.
Besarnya dampak dari kerentanan XSS sangat bergantung pada konteks aplikasi yang terdampak.
Dalam beberapa kondisi, celah ini dapat digunakan untuk memanipulasi tampilan halaman, menampilkan informasi palsu kepada pengguna, hingga mengambil data yang tersedia pada browser.
Pada sistem yang belum menerapkan konfigurasi keamanan secara optimal, kerentanan tersebut bahkan dapat dimanfaatkan untuk mencuri session pengguna.
Oleh karena itu, XSS masih menjadi salah satu fokus utama dalam proses pengujian keamanan aplikasi web.
Proses identifikasi kerentanan dilakukan dengan pendekatan yang terstruktur tanpa mengganggu operasional layanan digital yang sedang berjalan.
Tahap pertama diawali dengan melakukan pemetaan terhadap struktur aplikasi. Pada proses ini, ada identifikasi berbagai halaman yang menerima masukan dari pengguna, baik melalui parameter URL, formulir pencarian, maupun kolom isian lain.
Setelah menemukan titik-titik input tersebut, langkah berikutnya adalah menguji apakah data yang dimasukkan pengguna ditampilkan kembali ke browser.
Parameter yang merefleksikan input pengguna kemudian dianalisis lebih lanjut karena berpotensi menjadi titik masuk terjadinya kerentanan XSS.
Pengujian kemudian dilanjutkan dengan memeriksa mekanisme validasi yang diterapkan aplikasi.
Pada tahap ini digunakan payload pengujian yang aman untuk mengetahui apakah karakter-karakter khusus telah difilter, di-encode, atau justru ditampilkan secara langsung oleh sistem.
Pengujian tersebut bertujuan memastikan apakah aplikasi telah memiliki mekanisme sanitasi input yang memadai untuk mencegah penyisipan kode berbahaya.
Setelah payload berhasil dieksekusi pada browser, dilakukan proses verifikasi untuk memastikan bahwa perilaku tersebut benar-benar merupakan kerentanan Cross-Site Scripting, bukan disebabkan oleh faktor lain.
Seluruh proses verifikasi berlangsung secara terbatas sesuai prinsip responsible disclosure.
Pengujian tidak melibatkan akses terhadap data pengguna, tidak melakukan perubahan pada sistem, serta tidak mengganggu ketersediaan layanan publik yang sedang beroperasi.
Setelah seluruh proses selesai, hasil temuan kemudian disusun menjadi laporan teknis yang lengkap.
Dokumentasi tersebut memuat ringkasan kerentanan, lokasi aset yang terdampak, langkah reproduksi kerentanan, analisis dampak terhadap keamanan sistem, bukti pendukung, hingga rekomendasi perbaikan untuk pengelola aplikasi.
Laporan tersebut kemudian disampaikan kepada Tim CSIRT Kabupaten Purbalingga pada 29 Mei 2026 sebagai bentuk pelaporan kerentanan secara bertanggung jawab agar dapat segera ditindaklanjuti.
Laporan tersebut juga menyampaikan sejumlah rekomendasi untuk meminimalkan risiko eksploitasi kerentanan serupa di masa mendatang.
Beberapa langkah meliputi penerapan validasi terhadap seluruh data masukan dari pengguna, penggunaan output encoding yang sesuai dengan konteks HTML, JavaScript, maupun atribut halaman web, serta penerapan Content Security Policy (CSP) untuk membatasi eksekusi skrip yang tidak diizinkan.
Selain itu, penggunaan cookie dengan atribut HttpOnly dan Secure juga direkomendasikan apabila memungkinkan.
Langkah lain yang tidak kalah penting adalah melakukan pengujian keamanan secara berkala sebelum aplikasi dipublikasikan maupun setelah dilakukan pembaruan sistem.
Pelaporan kerentanan melalui mekanisme responsible disclosure menunjukkan bahwa tujuan utama seorang peneliti keamanan adalah membantu pemilik sistem meningkatkan keamanan.
Kolaborasi antara peneliti keamanan dan pengelola sistem melalui program seperti CSIRT menjadi bagian penting dalam membangun layanan digital pemerintah.
Bagi Athoru Safaroza Arthuro, Siswa SMK di Banjarnegara, pengalaman menemukan dan melaporkan kerentanan ini menjadi pembelajaran berharga.
Kontribusi tersebut membuktikan bahwa upaya sederhana dengan metode yang benar dapat memberikan dampak positif bagi perlindungan ekosistem digital yang lebih luas.***